安全動態(tài)

惡意軟件界的南孚,一個頂六個

來源:聚銘網絡    發(fā)布時間:2019-12-23    瀏覽次數:
 

信息來源:mottoin

馬上就要0202年了,我們要算經歷過大風大浪的人了,什么攻擊活動沒見過,可是最近出現(xiàn)的攻擊活動大家還真不一定見過。研究人員發(fā)現(xiàn)了一個針對全球組織的大規(guī)模黑客攻擊活動,由于它一次性分發(fā)六種惡意軟件(是的,你沒看錯,就是六種),所以研究人員將其稱之為“Hornet's Nest”(馬蜂窩)。


研究人員認為,這次活動是網絡犯罪即服務的一部分。代碼中的線索指向由說俄語的攻擊者編寫的Legion Loader,研究人員注意到該惡意軟件仍在開發(fā)和更新中。這次攻擊活動的目標主要集中在美國和歐洲。

目前尚不清楚攻擊最初是怎么發(fā)生的,但是一旦在計算機上啟動并運行,Legion Loader將執(zhí)行PowerShell命令,開始檢索其惡意有效負載。然后,其將分發(fā)三種不同的特洛伊木馬惡意軟件,所有這些惡意軟件都可以在地下論壇上找到。

第一個是Vidar木馬,它主要用來竊取各種個人信息(包括屏幕截圖和數據)。Vidar由C++撰寫,于2018年10月出現(xiàn),黑市價格在250-700美元之間,買家還可從C2(命令與控制)商店自動生成惡意代碼。Vidar的功能包括搜尋特定文件、竊取瀏覽器cookie中的ID、竊取瀏覽器歷史記錄、竊取加密貨幣錢包、從雙因素認證軟件中竊取數據、竊取通信軟件中的數據,還可獲取屏幕截圖。

值得注意的是,Vidar是一種高度商品化的惡意軟件,因此研究人員無法確認其背后的開發(fā)者具體是誰。

第二個木馬是Predator The Thief,這是一種惡意軟件,可以竊取數據并能夠使用受害者的網絡攝像頭捕獲圖像。該軟件使用C/C++語言編寫。與當今主流的惡意軟件一樣,該惡意軟件可以作為構建器(Builder),也可以通過C&C渠道下載額外的惡意軟件。

第三個是Racoon Stealer,這是一種相對較新的信息竊取器,功能強大,但操作起來非常容易,使用者還能根據自己的需求對其進行自定義。

除了這三種惡意軟件外,Legion Loader還包含一個基于RDP的后門,為攻擊者提供了進入受感染計算機的入口。這讓那些使用Legion Loader的人將來進行其他攻擊。

Legion Loader可以讓攻擊者竊取大量個人數據,雖然買它需要花錢,但買了之后攻擊者可以通過進行欺詐或在暗網上出售信息來賺錢,可謂是一本萬利,不虧本的買賣。

但是,這個被研究人員稱之為Hornet's Nest的攻擊活動為攻擊者提供了另一條賺錢的思路:Legion Loader有效載荷還包括基于PowerShell的加密貨幣竊取程序,攻擊者可以利用該程序攻擊受害者的比特幣錢包,這樣你的比特幣就是他的了。

除此之外,Legion Loader有效載荷還帶有一個加密貨幣礦工,該礦工利用受害者計算機的處理能力來挖礦。

雖然這個攻擊活動并非十分復雜,但看看攻擊者能干多少事,心就涼了多少截,畢竟這種多管齊下的攻擊可是各種組織、企業(yè)的“安全噩夢”。

 
 

上一篇:2019年12月22日 聚銘安全速遞

下一篇:印度核電站攻擊事件后續(xù):將惡意軟件Dtrack通過釣魚植入核電站內主機